Preguntas con etiqueta 'password-reset'

preguntas con etiqueta
1
respuesta

¿Qué es un ataque de restablecimiento de contraseña de "intercambio de cookies"?

Estoy mirando a Blackhat appsec entrenamientos y googlear. Mencionan un tipo de ataque para "Ataques de restablecimiento de contraseña" conocido como "Intercambio de cookies"; Consulte aquí . Si bien no me gusta hacer este tipo de publicacio...
hecha 04.10.2018 - 04:50
6
respuestas

Olvidó la contraseña y reveló si la cuenta existe [duplicado]

Entonces, cuando llegas al enlace de contraseña olvidada e ingresas tu dirección de correo electrónico, parece que los sitios (y otros programadores con los que he hablado) son uno de los dos modos de pensar; Notifique al usuario si la dir...
hecha 29.08.2015 - 03:25
2
respuestas

¿Hay algún valor para cambiar su contraseña después de intentos de inicio de sesión fallidos (maliciosos)?

Acabo de recibir un correo electrónico de Citi que dice "Hemos bloqueado su acceso durante 24 horas debido a múltiples intentos fallidos de inicio de sesión". y "Si no intentó estos inicios de sesión, le recomendamos que restablezca su contraseñ...
hecha 28.06.2018 - 18:02
1
respuesta

Si me roban mi teléfono para la autenticación de dos factores, ¿puede el atacante acceder a mi cuenta a través de un correo electrónico para restablecer la contraseña?

Supongamos que configuro una cuenta en línea con 2FA en mi teléfono, y un atacante obtiene acceso a mi teléfono. Mi teléfono está conectado a mi cuenta de correo electrónico. El atacante conoce el nombre de usuario de la cuenta de mi servicio en...
hecha 24.06.2017 - 00:30
1
respuesta

token JWT de un solo uso con reclamación de ID de JWT

Estoy intentando averiguar cómo emitir un token JWT de un solo uso para la función de restablecimiento de contraseña y aún así mantenerlo sin estado. Encontré Tokens de uso único con JWT , lo que básicamente sugiere incluir el hash de la contra...
hecha 13.03.2017 - 20:51
1
respuesta

Alternativas a SMS como un canal fuera de banda

Estoy buscando la funcionalidad de restablecimiento de contraseña para un proyecto en el que estoy trabajando. Mirando las pautas de OWASP, sugiere el uso de SMS como un canal fuera de banda para esto. ( enlace ) Sin embargo, NIST parece desa...
hecha 18.09.2017 - 13:44
2
respuestas

¿Debe ser válido un enlace de "restablecimiento de contraseña" después de cambiar el correo electrónico?

Aquí está el escenario: Su cuenta tiene múltiples enlaces activos de "restablecimiento de contraseña" en el mundo. Caducan después de 24 horas, y después de cambiar su contraseña. En lugar de cambiar su contraseña, luego cambia el correo e...
hecha 24.04.2018 - 18:51
1
respuesta

¿Olvidó su nombre de usuario / correo electrónico - ¿Las credenciales adicionales son lo suficientemente iguales para iniciar sesión en el usuario?

Estoy trabajando con otro usuario de UX y él me avisó que se han realizado algunos estudios sobre el hecho de que cuando una persona pasa por un proceso de "olvidó su nombre de usuario / correo electrónico", ingresa información adicional y esta...
hecha 07.04.2015 - 16:52
1
respuesta

¿El token de seguridad multipropósito es una vulnerabilidad de seguridad?

Nuestra aplicación tiene el concepto de tokens de seguridad. Se trata de cadenas criptográficamente seguras generadas aleatoriamente que se utilizan al generar correos electrónicos de restablecimiento de contraseñas, así como confirmaciones de c...
hecha 03.11.2016 - 23:40
3
respuestas

¿Debo permitir que los usuarios seleccionen sus propias preguntas secretas para restablecer la contraseña?

Estoy creando una aplicación web y en realidad estoy escribiendo un código que permite a los usuarios elegir su pregunta secreta y la respuesta utilizada para identificarlos si olvidan sus contraseñas. Estoy un poco confundido aquí porque muc...
hecha 29.03.2016 - 09:44